ソフトウェア開発の依存関係は“もろ刃の剣” リスク分析レポートが公開：セキュリティニュースアラート

Endor Labsは「2024 Dependency Management Report」を公開した。同レポートは、ソフトウェア開発の依存関係管理に焦点を当て、依存関係がもたらすセキュリティリスクについて詳述している。

[後藤大地，有限会社オングス]

　Endor Labsは2024年9月12日（現地時間）、ソフトウェア開発の依存関係の管理に焦点を当てたレポート「2024 Dependency Management Report」を公開した。調査によると、ソフトウェア間の依存関係は開発効率を大幅に向上させる一方、セキュリティリスクになる可能性があるという。同レポートでは依存関係管理の課題について詳述している。

ソフトウェア開発の依存関係にあるセキュリティリスクとは？

　ここでいう依存関係とはアプリケーションの機能を支えるライブラリやフレームワーク、ビルドや運用に必要なツールなど外部のソフトウェアコンポーネントを指す。依存関係を管理することで開発効率を高める一方、オープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性やその他のリスクを適切に管理することが求められる。

　同レポートでは、依存関係の脆弱性を管理する上で実際に脆弱な部分に到達するかどうかを評価することが重要だとしている。調査によると、依存関係の脆弱性のうち、実際に悪用される可能性があるものは9.5％未満とされ、修復作業の約90.5％が不要になることが判明している。

　レポートによると、エクスプロイト予測スコアリングシステム（EPSS）を活用することでソフトウェアの脆弱性が悪用される可能性を予測でき、効率的な優先順位付けが可能になる。EPSSと到達可能性を分析することで不要な修復作業を最大98％削減でき、限られたリソースをより効果的に活用できる。

　同調査では、依存関係のアップグレードに伴うリスクも指摘されている。依存関係のアップグレードの95％には重大な変更が含まれているため、コードを変更する必要が生じることが多いとされている。依存関係のメジャーバージョンアップは開発チームにとって数カ月を要する大規模な作業になることがあり、セキュリティチームはリスクと修復コストのバランスを取るための判断が求められている。

　依存関係の脆弱性を解消するには適切な修正をする必要があるとされ、24％の確率でメジャーバージョンの更新が必要であることが判明している。さらにマイナーアップデートでは94％の確率でクライアントに不具合が発生するリスクがあるとされ、パッチでは75％の確率で障害が引き起こされるリスクがあるとしている。

　レポートでは脆弱性情報の公開遅延や不完全なデータにより、セキュリティリスクが高まることが懸念されている。脆弱性の公開までの遅延は平均で25日あり、その間に攻撃者に悪用されるリスクがあると指摘されている。リスクを予測してプロジェクトを監視することで早い段階でリスクを軽減する方法を取ることが可能になる。

　公開されているアドバイザリーデータベースに含まれる情報もしばしば不完全とされ、脆弱な機能に関する詳細なデータが不足していることが多いと指摘されている。例えば、6つの主要エコシステム（PyPI、Maven、npm、NuGet、Go、RubyGems.org）で公開されているアドバイザリーのうち、脆弱性を含むライブラリー関数に関する情報が含まれているのはわずか2％だったという。依存関係の脆弱性を効果的に管理し、適切に修復するためには、さらなるデータの収集が必要になるとEndor Labsは指摘している。